Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

Hacktivisti filo-russi in cerca di sistemi OT. Le password di default nel mirino

Redazione RHC : 5 Maggio 2024 07:53

Sullo sfondo del terzo anniversario dell’attacco alla Colonial Pipeline del 7 maggio, un gruppo di forze dell’ordine e di sicurezza informatica di Stati Uniti, Canada e Regno Unito ha pubblicato un foglio informativo. Si avverte che gli hacktivisti filo-russi stanno prendendo di mira e compromettendo attività operative su piccola scala.

Si parla di Sistemi tecnologici (OT) nei settori nordamericani ed europei, compresi i sistemi idrici e delle acque reflue (WWS), dighe, cibo e agricoltura. Secondo il documento, questa attività dannosa è stata osservata dal 2022 e fino all’aprile 2024.

È l’ultimo avvertimento che i malintenzionati e gli stati nazionali hanno nuove strade attraverso le quali possono provocare il caos e manomettere o chiudere le infrastrutture critiche sfruttando le vulnerabilità nei sistemi IT e OT sempre più convergenti. 

Supporta Red Hot Cyber attraverso

Diverse agenzie governative hanno avvertito negli ultimi anni che gli hacktivisti filo-russi stanno ottenendo l’accesso remoto ai sistemi OT sfruttando le connessioni Internet esposte pubblicamente e sfruttando software obsoleti di accesso remoto Virtual Network Computing (VNC). Questi hacktivisti sfruttano anche le password di default dell’interfaccia uomo-macchina (HMI) degli utenti, nonché le password deboli senza autenticazione a più fattori.

Sono stati osservati hacktivisti filo-russi mentre utilizzavano una varietà di tecniche per ottenere l’accesso remoto agli HMI e apportare modifiche all’OT sottostante. Queste tecniche includono:

  • Utilizzo del protocollo VNC per accedere agli HMI e apportare modifiche all’OT sottostante. VNC viene utilizzato per l’accesso remoto alle interfacce utente grafiche, inclusi gli HMI che controllano i sistemi OT;
  • Sfruttare il protocollo VNC Remote Frame Buffer per accedere agli HMI per controllare i sistemi OT;
  • Sfruttare VNC sulla porta 5900 per accedere agli HMI utilizzando credenziali predefinite e password deboli su account non protetti dall’autenticazione a più fattori.

Le vittime hanno riferito di disturbi limitati alle pompe dell’acqua e alle apparecchiature di ventilazione che superavano i normali parametri operativi.

In ogni caso, gli hacktivisti hanno raggiunto il massimo dei valori prefissati. Midificano altre impostazioni, disattivato i meccanismi di allarme e modificato le password amministrative per bloccare gli operatori WWS. Alcune vittime hanno subito piccoli eventi di traboccamento del serbatoio. La maggior parte delle vittime è tornata ai controlli manuali subito dopo e ha ripristinato rapidamente le operazioni.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.
Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

Redazione: [email protected]
© Copyright RED HOT CYBER. PIVA 16821691009